Протоколы Internet




SET и другие системы осуществления платежей - часть 69


/p>

Следующие СA должны поддерживать CRL в рамках SET:

  • корневой СА – для поддержки незапланированной замены корневых сертификатов или сертификатов СА платежных систем.
  • СА платежных систем – для поддержки незапланированной замены или прекращения действия сертификата, выданного центром сертификации платежной системы.
  • геополитические СА – для поддержки незапланированной замены сертификатов CCA, MCA или PCA.
  • CA расчетного центра - для поддержки незапланированной замены сертификатов ключевого обмена расчетного центра.
  • Расширение CRLNumber содержит одно целое число. Центр СА, подписывающий CRL, должен инкрементировать это число каждый раз при выпуске нового CRL.

    При получении нового CRL должны проводиться следующие проверки:

    1. Сначала проверяется подпись:

      • Используется AuthorityKeyIdentifier расширения CRL для контроля корректности сертификата подписи.
      • Расширение KeyUsage в сертификате подписи указывает на CRLsign(6)

      2. IssuerDN рассматриваемого сертификата должен соответствовать полю IssuerDN в CRL.

      3. IssuerDN и устаревший certSerialNumber сравниваются с проверяемым сертификатом

      Следующие проверки производятся для того, чтобы выяснить, не входит ли данный сертификат в список CRL:

          1. IssuerDN рассматриваемого сертификата должен соответствовать содержимому поля IssuerDN CRL
          2. certSerialNumber должно соответствовать значению поля revokedCertificates.certSerialNumber списка CRL.

          Существующие CRL от одного и того же IssuerDN могут быть удалены, когда успешно прошел проверку CRL с более высоким значением CRLNumber.

          BrandCRLIdentifier

          BrandCRLIdentifier (BCI) представляет собой структуру, определенную SET и используемую для идентификации всех рабочих CRL заданной области ответственности сертификационного центра платежной системы. BrandCRLIdentifier содержит в себе следующую информацию:

        1. Номер BCI (увеличивается для каждого нового BCI)
        2. Название платежной системы
        3. Время пригодности BCI
        4. Список номеров CRL (из расширения номера CRL)
        5. Эмитент и серийный номер сертификата СА платежной системы, который используется для подписи BCI (включается в расширение)



        6. Содержание  Назад  Вперед